Khung quản lý chuyên biệt cho an ninh mạng

Ảnh minh họa.

Bộ Công an vừa công bố dự thảo Nghị định quy định về hoạt động kinh doanh sản phẩm, dịch vụ an ninh mạng và lấy ý kiến trong thời gian 10 ngày, từ 16/3 đến 26/3/2026. Đây là một bước đi đáng chú ý trong tiến trình thể chế hóa Luật An ninh mạng năm 2025. 

Điểm cốt lõi của đợt xây dựng Nghị định lần này nằm ở chỗ: Luật An ninh mạng năm 2025 đã dành Điều 28 để quy định về sản phẩm, dịch vụ an ninh mạng và Điều 29 để quy định về kinh doanh sản phẩm, dịch vụ an ninh mạng, trong đó nêu rõ doanh nghiệp kinh doanh trong lĩnh vực này phải có giấy phép và Chính phủ sẽ quy định cụ thể việc cấp, tạm đình chỉ, thu hồi giấy phép, cũng như việc nhập khẩu, xuất khẩu sản phẩm an ninh mạng. Nói cách khác, luật đã đặt ra khung nguyên tắc, còn nghị định là công cụ để đưa các nguyên tắc đó vào vận hành thực tế.

So với giai đoạn trước, điểm mới quan trọng là cách tiếp cận quản lý đang được dịch chuyển rõ hơn từ nền tảng của Nghị định 108/2016/NĐ-CP về điều kiện kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng sang một khuôn khổ chuyên biệt hơn cho an ninh mạng. Bộ Công an cho biết việc xây dựng dự thảo nhằm hoàn thiện hệ thống pháp luật, xử lý các nội dung bất cập còn tồn tại trong Nghị định 108/2016, bảo đảm tính khả thi và phù hợp với yêu cầu bảo vệ các mục tiêu trọng yếu quốc gia về an ninh mạng, cũng như quyền và lợi ích hợp pháp của tổ chức, cá nhân trên không gian mạng.

Điều này cho thấy thị trường công nghệ thông tin hay an ninh mạng, một ngành nghề kinh doanh có điều kiện, tác động trực tiếp tới an ninh quốc gia, an ninh dữ liệu, an toàn hệ thống thông tin và năng lực tự vệ số của đất nước. Khi khung pháp lý thay đổi theo hướng đó, yêu cầu với doanh nghiệp cũng sẽ thay đổi tương ứng, không chỉ giỏi công nghệ, mà còn phải đáp ứng tốt hơn các chuẩn mực về pháp lý, quản trị, chất lượng dịch vụ và trách nhiệm phối hợp với cơ quan chức năng.

Theo dự thảo, nghị định gồm 4 chương, 23 điều, quy định chi tiết các nội dung như: sản phẩm, dịch vụ an ninh mạng; điều kiện kinh doanh; thẩm quyền, hồ sơ, thủ tục cấp, cấp lại, cấp đổi, sửa đổi, bổ sung, gia hạn, tạm đình chỉ, thu hồi giấy phép kinh doanh sản phẩm, dịch vụ an ninh mạng; giấy phép nhập khẩu, xuất khẩu sản phẩm an ninh mạng; trách nhiệm của cơ quan, tổ chức, doanh nghiệp, cá nhân có liên quan. Một điểm rất đáng chú ý là dự thảo nêu rõ không điều chỉnh hoạt động kinh doanh sản phẩm, dịch vụ mật mã dân sự. Chi tiết này cho thấy phạm vi quản lý đang được xác định tương đối rõ, tránh chồng lấn với các lĩnh vực pháp lý khác.

Từ góc độ chính sách, việc cụ thể hóa như vậy mang nhiều ý nghĩa.

Thứ nhất, giúp thị trường có một “đường ray” pháp lý rõ hơn, thay vì vận hành theo các quy định rời rạc.

Thứ hai, tạo cơ sở cho cơ quan quản lý thực hiện cấp phép, thanh tra, giám sát và xử lý vi phạm theo cách minh bạch hơn.

Thứ ba, buộc các doanh nghiệp muốn bước vào lĩnh vực an ninh mạng phải đầu tư nghiêm túc hơn vào năng lực thực chất, thay vì chỉ dựa vào danh nghĩa cung cấp giải pháp công nghệ.

Chuẩn hóa thị trường để thúc đẩy doanh nghiệp an ninh mạng Viêt Nam lớn lên 

Ngoài ra trong dự thảo còn hướng tới khuyến khích đầu tư, kinh doanh trong lĩnh vực an ninh mạng, tiến tới tự chủ, xuất khẩu sản phẩm, dịch vụ an ninh mạng. Đây là thông điệp chính sách rất đáng chú ý, bởi nó cho thấy khung pháp lý mang tính kiến tạo thị trường.

Nói cách khác, dự thảo “siết để chuẩn hóa, chuẩn hóa để mở đường phát triển”. Trong lĩnh vực an ninh mạng, một thị trường thiếu chuẩn mực và thiếu cơ chế phân loại rủi ro có thể dẫn tới nhiều hệ lụy: doanh nghiệp yếu năng lực vẫn tham gia cung cấp dịch vụ cho các hệ thống quan trọng; sản phẩm kém chất lượng vẫn lưu thông; trách nhiệm pháp lý giữa doanh nghiệp và khách hàng thiếu rõ ràng; còn cơ quan quản lý gặp khó trong việc kiểm soát các hoạt động liên quan đến nhập khẩu, xuất khẩu hoặc cung cấp sản phẩm, dịch vụ nhạy cảm. Khi nghị định mới thiết lập lại điều kiện kinh doanh và khuôn khổ giấy phép, thị trường nhiều khả năng sẽ được sàng lọc mạnh hơn.

Đối với doanh nghiệp, tác động của nghị định tới đây có thể nhìn ở ít nhất ba lớp. Lớp thứ nhất là tuân thủ pháp lý, các đơn vị đang kinh doanh sản phẩm, dịch vụ an ninh mạng sẽ phải quan tâm nhiều hơn đến điều kiện hoạt động, thủ tục giấy phép, chuẩn chất lượng và phạm vi kinh doanh hợp pháp. Điều 29 của Luật An ninh mạng 2025 cũng đã quy định rõ doanh nghiệp phải thực hiện đúng giấy phép; bảo đảm chất lượng sản phẩm, dịch vụ; lập, lưu giữ và bảo mật thông tin khách hàng; từ chối cung cấp sản phẩm, dịch vụ khi phát hiện bên mua vi phạm pháp luật hoặc vi phạm cam kết; đồng thời phối hợp, tạo điều kiện cho lực lượng chuyên trách bảo vệ an ninh mạng thực hiện nhiệm vụ. Những yêu cầu này cho thấy trách nhiệm của doanh nghiệp sẽ không chỉ dừng ở bán sản phẩm hay cung cấp dịch vụ, mà gắn chặt với nghĩa vụ pháp lý trong toàn bộ vòng đời hoạt động.

Lớp tác động thứ hai là cạnh tranh thị trường. Khi điều kiện kinh doanh được xác lập chặt chẽ hơn, doanh nghiệp muốn tồn tại sẽ phải chứng minh được năng lực thật về công nghệ, nhân sự, quy trình và chất lượng dịch vụ. Điều này có thể làm tăng chi phí gia nhập thị trường, nhất là với các doanh nghiệp nhỏ hoặc startup, nhưng ở chiều ngược lại, nó cũng giúp tạo ra một sân chơi minh bạch hơn, hạn chế tình trạng cung cấp dịch vụ an ninh mạng theo kiểu chắp vá, thiếu chuẩn hoặc chỉ mang tính thương mại đơn thuần. Một thị trường được sàng lọc tốt hơn sẽ có lợi cho các doanh nghiệp đầu tư nghiêm túc, đặc biệt là những đơn vị phát triển sản phẩm lõi, giải pháp giám sát, kiểm thử, chống tấn công, đánh giá an ninh mạng hoặc dịch vụ tư vấn chuyên sâu.

Lớp tác động thứ ba, và cũng là lớp đáng quan tâm nhất về dài hạn, là động lực phát triển ngành công nghiệp an ninh mạng nội địa. Khi Bộ Công an đặt mục tiêu tiến tới tự chủ và xuất khẩu sản phẩm, dịch vụ an ninh mạng, điều đó hàm ý Việt Nam không muốn chỉ dừng ở thị trường tiêu dùng công nghệ bảo mật nhập khẩu. Mục tiêu ở đây là hình thành hệ sinh thái doanh nghiệp có năng lực làm ra sản phẩm, làm chủ giải pháp, cung cấp dịch vụ và từng bước vươn ra thị trường khu vực, quốc tế. Muốn vậy, khung pháp lý phải vừa đủ chặt để bảo đảm an ninh, vừa đủ minh bạch để doanh nghiệp yên tâm đầu tư, vừa đủ ổn định để tạo tầm nhìn dài hạn cho thị trường.

Việt Nam đang muốn định hình một thị trường an ninh mạng phát triển có trật tự, có chuẩn mực và có khả năng cạnh tranh thực chất. Thị trường ấy chắc chắn sẽ đòi hỏi doanh nghiệp chuyên nghiệp hơn, đầu tư bài bản hơn và chịu trách nhiệm cao hơn. Nhưng chính nhờ vậy, nó cũng có thể mở ra dư địa phát triển lớn hơn cho những doanh nghiệp làm thật, có công nghệ thật và có khát vọng đi xa.

Thu Uyên